Порт Forwarding към адрес от VLAN.

[Rous]

Здравейте,

схемата ми е следната:

порт 1 на умен суич има тагнати(трънкнати) 10 VLAN-a, които са в access на портове 11,12,13,14 и т.н.

порт 1 е в ether1 на една 750-ка, на която има добавени vlan1, vlan2,vlan3 ..........,vlan10 на интерфейс ether1

на всеки vlan има добавен адрес от типа vlan1 - 192.168.1.254/24, vlan2 - 192.168.2.254/24 ..... vlan10 - 192.168.10.254/24

10 dhcp-ta 10 pool-a в 10-те vlan-a.

Това всичкото през портове 11,12,13 .... на суича отива през 10 етера към 10бр. 433АН-а всеки с по 3 MiniPCI WLM54 към свободно отворена мрежа на 2,4 GHz.

И тук въпроса:

Как да пренасоча порт Х към порт Х на IP което е дадено от dhcp.

И преди да изругаете, правилото ми е ясно:

chain=dstnat action=dst-nat to-addresses=192.168.3.251 to-ports=80 protocol=tcp dst-address=212.хх.хх.хх dst-port=80

Всичко е ок ако IP то е през друг етер, но ако е през vlan, не се получава.

От самият борд ги пингвам адресите но правилото не работил.

Пробвах и следният вариант:

vlan-ите в 10 бриджа , иптата Х.254/24 на бриджовете.

В този случай не се виждат даже иптата в 10-те влан-а.

Идеи ?

[111111]

Махаш интелигентния суич и ползваш eoip 

при мен работи от 2 години без проблем 

[Rous]

Да ок ще е. Въпреки че тунелите не са ми любими, е добро начинание. Вече не пускам и WDSи даже през Wireless всичко е с  eoip. Но в този случай конфигурацията не може да се променя. А и от чисто любопитство, няма да спра да ровя. Неможе върху физически интерфейс да работи а върху виртуален да не работи. Няма логика.

Ако някой има идея да сподели

[111111]

а тоя виртуален слочайно да не разпознава леер 2

[Rous]

Layer 3 си е ... Има още нещо много странно.

Ако добавя адреса на виртуалният интерфейс ( примерно vlan13 192.168.13.254/24 ), виждам всичко ще е раздало dhcp-то като от борда мога да го пингвам примерно пингвам 13.251 и го виждам.

Ако обаче добавя vlan13 в бридж bridge-vlan13 в port добавя vlan13 към brdge-vlan13 и преместя IP адреса върху bridge-vlan13, спирам да виждам адресите примерно 13.251.

А няма никаква логика, нали това е принципа на untag на vlan.

Поне аз до сега съм untagвал като добавя в един бридж физическият интерфейс и виртуалният. Е защо ако следваме логиката в този случай не се получава.

Ако vlan13 вижда 13.251 и ако vlan13 e в bridge-vlan13 то bridge-vlan13 също трябва да вижда 13.251. Да ама не.

[111111]

а бриджа адрес има ли си или само интерфеисите в бриджа 

защото при този сценарии не е правилен

махай ги тия vlan-ове от сценария ти и си ползвай EoIP и ще ти е мирна главата

[Rous]

Да има си адрес, именно когато добавя влан-а в бридж местя адреса от влан на бридж.

Няма как да ги махна, освен всичко описано тези влани са унтагнати и на един Debian Сървър, в който има prerouting. Така, че схемата не може да се променя.

Още малко разяснение, цялата тая схема ми е нужна за един проект live dot sliven dot net. като в тези vlan-и има няколко IP камери, които трябва да се виждат през реалното ИП на микротика, с цел миграция на сайта, от моят сървър го местя в колокацията ни в София. Освен това тея влани са и унтагнати на места които не ми позволяват да променя конфигурацията.

Така, че пак стигам до задънената улица, как да пренасоча порт към ип което е зад виртуален интерфейс.

[Mile]

Това че имаш PREROUTING -i bridge_name на дебиана кво общо има?

Пускаш vlan-a да си върви тагнат през всички устройства и разтагваш на debiana. Каде е драмата в случая освен, че ползваш безмислени МТ-та?

[Rous]

Това е в подкрепа на факта, че не трябва да променям конфигурацията.

Драмата е както написах в първият пост още, микротика пренасочва портове към физически но не и към виртуални интерфейси.

Как се насочва порт към ип от виртуален интерфейс и защо работи само на физическият правилото ?